Aspectos clave de la Seguridad de la Información según ISO 27001
La Seguridad de la Información según ISO 27001 se ha convertido en un elemento de enorme relevancia dentro de las organizaciones dado que como bien sabemos, la información es uno de los activos más importante dentro de la misma.
El objetivo de la Seguridad de la Información según ISO 27001 es asegurar el carácter confidencial, su integridad así como su disponibilidad.
De este modo, mediante la implementación de un Sistema de Seguridad de la Información según ISO 27001, se busca tener un control de los riesgos a los que se expone una organización.
Dicha norma ISO 27001, es el estándar por excelencia en materia de Seguridad de la Información.
Veamos a continuación los principales aspectos clave que se introducen en la Seguridad de la Información según ISO 27001 en su actual versión de 2013.
Aspectos clave de la Seguridad de la Información según ISO 27001
Las principales novedades que recoge ISO 27001:2013 son:
1.- La necesidad de homogeneizar su estructura de cara a facilitar la integración con otras normas.
2.- Permite realizar una implementación del SGSSI con mayor flexibilidad.
3.- Hace más fácil a las organizaciones la adhesión a la citada norma de cara a lograr la certificación en la misma.
4.- Pone especial atención a las necesidades particulares de cada organización y sus partes interesadas.
Veamos las novedades que trae la última versión ISO 27001 en referencia a los siguientes aspectos:
1.- Estructura
La nueva estructura presenta la misma orientación que el resto de normas ISO que han venido actualizándose con el fin de facilitar la integración entre las mismas.
Las definiciones incorporadas en la anterior versión ISO 27001:2005 se suprimen en ISO 27001:2013 y aquellas de relevancia pasan a ISO/IEC 27000.
Igualmente, ahora en la nueva versión sólo existe el Anexo A, que contiene los controles a aplicar. Es una referencia y no una base para la selección.
Ha aumentado el número de secciones, pasando de 11 que tenía la anterior versión de la norma a 14. El número de controles se reduce, bien porque se han eliminado, porque se han generalizado o porque se fusionan. Además aparecen nuevos controles.
2.- Evaluación y tratamiento de riesgos
- En la nueva versión de ISO 27001 se da una mayor libertad de opciones para calcular los riesgos.
- Se toma la ISO 31000 como base para hacer seguimiento de los riesgos y mecanismos a emplear para ello.
- Tomar los activos, vulnerabilidades y amenazadas como base para la evaluación de riesgo ya no es la única forma de poder realizarla. Es uno de los métodos a emplear.
- Se reemplaza el término de impacto por el de consecuencia, al ser más amplio.
- No es obligatorio contar con un dueño de activo. En su lugar, aparece el nuevo concepto de dueño del riesgo. De esta forma, se eleva el nivel de responsabilidad dentro de la organización.
- Ya no hay medidas preventivas, sino que se fusiona todo ello con la evaluación y tratamiento de riesgos.
3.- Mejora continua
ISO 27001:2013 ofrece una amplia libertad respecto a la metodología a emplear por cada organización para alcanzar la tan deseada mejora continua.
El conocido ciclo PDCA (Plan- Do- Check- Act) ya no es una obligación sino uno de los posibles métodos a seguir.
4.- Facilidades para la implementación
Otro de los aspectos clave de la Seguridad de la información en ISO 27001 es la facilidad en la implementación que aporta.
Gracias a su diseño definido para tener una estructura común con otras de las normas ISO, resulta más sencillo poder llevar a cabo su integración con esas otras normas ISO.
A ello, le sumanos la flexibilidad antes mencionada en materia de la elección de la metodología a emplear para la evaluación de riesgos así como, para la gestión de la mejora continua.
Igualmente, destacamos la posibilidad que permite a la organización de poder adaptar su SGSI a las necesidades reales que cada una tenga, así como la reducción de la carga documental que ofrece.
5.- Nuevos controles
Se introducen controles nuevos en materia de:
- Política de desarrollo seguro.
- Procedimientos del sistema de desarrollo.
- Entorno de desarrollo seguro.
- Sistemas de pruebas de seguridad.
- Evaluación y toma de decisión sobre los eventos de seguridad de la información.
ISOTools Excellence
ISOTols Excellence facilita a las organizaciones la implementación de SGSI bajo la norma ISO 27001, al llevar a cabo el proceso de manera automatizada, permitiendo de ese modo ganar en agilidad así como poder optimizar el desempeño y mantenimiento de dicho sistema de gestión.
Si desea ampliar información sobre el funcionamiento de esta herramienta no dude en contactar con nuestros expertos consultores.
¿Desea saber más?
Entradas relacionadas
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…